I webhook di Discord sono terreno fertile per un generatore di malware

I webhook di Discord sono terreno fertile per un generatore di malware

Un nuovo generatore di malware è stato concepito per prendere di mira gli utenti Discord tramite i webhook: la scoperta.
Un nuovo generatore di malware è stato concepito per prendere di mira gli utenti Discord tramite i webhook: la scoperta.

Un team di ricerca di sicurezza informatica ha scoperto che lo scorso 23 aprile, un utente Discord, chiamato Portu, ha iniziato a pubblicizzare un nuovo generatore di malware concepito per il furto di password.

I generatori di malware sono dei programmi in cui i cosiddetti hacker alle prime armi possono creare i propri eseguibili. Nel dettaglio, lo script kiddie è un linguaggio di sicurezza informatica che utilizza un codice preesistente che permette di modificarlo leggermente a proprio vantaggio, anche a scopi illegali.

Gli esperti di sicurezza di Uptycs hanno scoperto che il malware è stato utilizzato per prendere di mira gli utenti Discord: considerato quanto è diffusa questa piattaforma, è un ulteriore motivo per dotarsi di una buona protezione antivirus.

KurayStealer, come funziona il malware che si nascondeva su Discord

KurayStealer è stato rilevato circa quattro giorni dopo che Portu ha iniziato a pubblicizzare il nuovo generatore di malware. Quando viene eseguito per la prima volta, il programma esegue un controllo per determinare se l’utente sta utilizzando una versione gratuita o a pagamento.

Successivamente, tenta di sostituire la stringa “api/webhooks” con “Kisses” in BetterDiscord, una versione estesa della nota applicazione che include maggiori funzionalità dedicate agli sviluppatori. Se questa azione riesce, l’attaccante può modificare l’app per configurare il webhook a proprio piacimento.

Per chi non lo sapesse, i webhook rappresentano un meccanismo mediante il quale le pagine web e le applicazioni possono scambiarsi dati in tempo reale tramite HTTP. Con un funzionamento simile a quello delle API, differiscono per il fatto che i webhook inviano informazioni in modo automatico, senza che il destinatario debba in qualche modo richiederle.

Con i webhook attivi, il programma riesce a “fotografare” la macchina di destinazione e parte alla ricerca delle credenziali: password, token, indirizzi IP e quant’altro non solo da Discord, ma anche da Edge, Chrome e altre 18 applicazioni. Qualsiasi dato analizzato in questo processo viene reinviato all’attaccante tramite i webhook.

La nostra ricerca su KurayStealer supportata da OSINT evidenzia l’aumento della prevalenza di ladri di password che sfruttano i token Discord come C2 per raccogliere le credenziali delle vittime. Le aziende devono disporre di controlli di sicurezza rigorosi e di soluzioni di sicurezza e visibilità a più livelli per identificare e rivelare tali attacchi

Scrive in una nota il team di ricerca.

Questo articolo contiene link di affiliazione: acquisti o ordini effettuati tramite tali link permetteranno al nostro sito di ricevere una commissione.

Link copiato negli appunti

Ti potrebbe interessare

Pubblicato il 19 mag 2022
Link copiato negli appunti